Kişisel Verilerin Korunması Hukukunda Gelişmeler -I-

21 Haziran 2019

Türkiye’nin, “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”ye taraf olması ve genel olarak Türk mevzuatının EU mevzuatı ile uyumlaştırılma çalışılması nedeniyle, 7 Nisan 2016 tarihinde 6698 sayılı “Kişisel Verilerin Korunması Kanunu çıkarılmıştır. Bununla birlikte, Kanun’un, General Data Protection Regulation (GDPR)’ın 04.05.2016 tarihinde Avrupa Parlamentosu’nda kabulünden kısa bir süre önce yürürlüğe girmiş olması nedeniyle ilerleyen dönemlerde Kanun’un GDPR’a uyumlu hale getirilmesi ve bu kapsamda birtakım değişikliklerin de gerçekleşmesi beklenmektedir.

Kişisel Verilerin Korunması Kanun (Kanun) yürürlüğe girdiğinde bir çok düzenlemeyi ikincil mevzuata bırakmış ve ikincil mevzuatın Kişisel Verileri Koruma Kurulu (Kurul) tarafından çıkarılacağı ifade edilmiş idi.. 2017 yılında Kurul’un çalışmaya başlaması ile, yönetmelikler ve tebliğler çıkarılmış, Kurul prensip kararlar almış hatta mevzuata aykırı davrananlara ceza kesmeye başlamıştır.

Bu makalemizde 18.06.2019 tarihi itibariyle özellikle veri sorumluları ve veri işleyenler açısından önemli gördüğümüz ikincil mevzuatı ve Kurul tarafından verilmiş önemli kararları özet mahiyetine derlemiş bulunmaktayız.

MEVZUATA GETİRİLEN YENİ DÜZENLEMELER

1. İkincil Mevzuat

Kişisel verilerin korunmasına ilişkin olarak veri sorumlularının kayıt olacakları bir sistem olan bir “Data Controller Registry (VERBİS)” kurulmuştur. Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamak üzere Kurul tarafından 01.01.2018 tarihi itibariyle yürürlüğe girmek üzere Veri Sorumluları Sicili Hakkında Yönetmelik (VERBİS Yönetmeliği) çıkarılmıştır.

VERBİS Yönetmeliği’ne göre, kişisel verileri işleyen gerçek ve tüzel kişiler, verilerini işlemeye başlamadan önce veri işleme faaliyetleri ile ilgili bilgileri bu sisteme kaydetmek zorundadır. VERBİS’e kayıt süreleri aşağıda yer almaktadır:

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.10.2018 olup, Sicile kayıt yaptırmaları için veri sorumlularına 30.09.2019 tarihine kadar süre verilmiştir.
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri[1] işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.01.2019 olup, Sicile kayıt yaptırmaları için veri sorumlularına 31.03.2020 tarihine kadar süre verilmiştir.

VERBİS’e kayıt yaptırmak için veri sorumlularının öncelikle, Kişisel Veri İşleme Envanteri (Envanter) hazırlamaları gerekmektedir. Bu Envanter, Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçlarını ve hukuki sebebini, veri kategorisini, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları bilgileri içerecektir. Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur.

VERBİS’e kayıt olmayanlar için Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezaları uygulanacaktır. Söz konusu idari para cezasının tutarı 20.000 Türk lirasından 1.000.000 Türk lirasına kadar değişmektedir.

Öte yandan, “Yıllık çalışan sayısı 50’den az[2] ve yıllık mali bilanço toplamı 25 milyon TL’den az olan [3]gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına Kurul tarafından karar verilmiştir. Ancak belirtmek gerekir ki; VERBİS’e kayıt yükümlülüğünden istisna olmak Kanun hükümlerinden de istisna olmak anlamına gelmemektedir..

Bir diğer yeni düzenleme ise, 01.01.2018 tarihi itibariyle yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”dir. Bu Yönetmelik’te VERBİS’e kayıt olmak zorunda olan Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika hazırlamakla yükümlü olduklarını belirtmektedir.
Kurul ayrıca Kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerektiğinden yola çıkarak, 10.03.2018 tarihinde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” çıkarmış bu bilgilendirmenin asgari koşulları ile kapsamını belirlemiştir. “ Bu Tebliğ , VERBİS’e kayıt yükümlülüğü olsun olmasın tüm veri sorumluları ve veri işleyenler açısından geçerli olup, tebliğ kapsamında kişisel verilerin elde edilmesi sırasında veri sahibinin ilgili kişiyi bilgilendirmesi ve bu bilgilendirmenin usul ve esaslarını düzenlemektedir.

2. Kurul Kararları

Kişisel verilerin korunması kapsamında çıkarılan yönetmelik ve tebliğlerin dışında Kurul da mevzuata yönelik çok sayıda karar almıştır. Veri Sorumluları ve veri işleyenler açısından önem arz edebilecek Kurul kararları aşağıdaki şekildedir.

Yurt dışına aktarımla ilgili olarak Kanun hükmündeki düzenleme gereği (9.madde) ilgili kişinin açık rızası olmaksızın aktarımın yapılamayacağı , kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Düzenleme ile ayrıca Kurul’a güvenli ülkeleri belirleme yetkisi tanınmıştır. Bu kapsamda yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı kararı ile Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterlerin yer aldığı bir form yayınlamıştır. Söz konusu formda, güvenli ülkeler belirlenirken, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı gibi birtakım kriterlerin Kurul tarafından değerlendirileceği düzenleme altına alınmıştır

Kurul aynı zamanda Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler adı altında 31.01.2018 tarihinde bir karar yayınlamıştır. Bu kararda özel nitelikteki kişisel verilerin işlenmesinde uyulması gereken esaslar açıklanmış ve kararda belirtilen hususlara paralel olarak politikalar ve prosedürlerin belirlenmesine ve hazırlanmış olduğu Kişisel Veri Güvenliği Rehberinde belirtilen idari tedbirlerin alınmasına karar verilmiştir.
Yine Kurul tarafından 31.05.2018 tarihinde bir ilke kararı verilmiştir. Buna göre veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılmasının aykırılık teşkil etmesi nedeniyle, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin veri sorumluları tarafından alınması gerektiği belirtilmiştir.
Kurul 16/10/2018 Tarihli kararında, Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi adına ilgili kişinin rızası olmaksızın bu verilerin işlenmesinin derhal durdurulmasına, aksi takdirde idari para cezası uygulanacağını belirtmiştir.
01.2019 tarihli bir diğer kararda ise, ilgili kişi tarafından veri ihlali nedeniyle veri sorumlusuna yapılan başvuru süresi ve bu başvuruya veri sorumlusu tarafından cevap verilmesi gereken süre ile veri sorumlusu tarafından belirlenen süre içinde başvuruya cevap verilmemesi halinde ilgili kişinin şikâyet yoluna başvuru sürelerine ilişkin ilke kararı verilmiştir.
Kurulun 24.01.2019 tarihinde vermiş olduğu karar ile veri sorumlusunun verilerin ihlaline ilişkin bilgi sahibi olması halinde ihlalin Kurul’a ve ihlalden etkilenmiş kişilere bildirilmesi sürecine ilişkin ilkeler belirlenmiştir. Bu ilke karar ile Kurul, Kanuna dayanak teşkil eden Avrupa Birliği’nin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiğine dikkat çekmiş, bu konuda alınacak kararlar arasında uyumsuzluğu önlemeyi ve uygulamada bir yeknesaklık sağlamayı hedeflemiştir.
Kurul tarafından 31.05.2018 tarihinde verilen ilke kararda, veri sorumlusu nezdinde, bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılmasının Kanuna aykırı sonuçlar doğurabilecek olması nedeniyle, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği düzenlenmiştir.

Konu hakkında daha detaylı bilgi almak isterseniz info@berkerberker.com adresinden bize ulaşabilirsiniz.

DİPNOTLAR

[1] Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler, özel nitelikli verilerdir.

[2] Yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir.

[3] Yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir. Veri sorumlusunun beyannamesi ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam esas alınmalıdır. Bu rakamlar eşit olmak zorundadır.